公司数据安全管理办法

公司数据安全管理办法总则（一） 目的加强公司数据安全管理，规范公司内部职责，规避公司风险，避免社会风险。避免发生用户数据、涉税数据泄密等安全事件，规范员工日常操作行为。（二） 基本原则1、 客户有信息安全规范或要求的，应严格按照客户管理要求执行。2、 与客户之间签署有保密协议的，须严格遵守与客户签署的保密协议要求。3、 相关岗位员工做好信息安全方面的培训，包括客户和公司的安全管理要求，并通过考试后才能正式上岗；4、 相关岗位需与客户签订《保密协议》，同时与公司签订《信息安全保密协议》，方可正式上岗开展日常工作。（三） 思想意识1、 树立保密意识，严守机密，不要接触不该接触的机密，不要泄露自己掌握的机密；2、 树立纪律意识，自觉遵守运行维护的制度及各项工作规定。第八条树立安全意识，不得危害计算机信息系统的安全。3、 树立道德意识，严格遵守职业道德，保持职业操守，诚实守信的价值观，不得利用职务便利谋取私利。4、 树立服务意识，想客户所想，以客户满意为优先目标。5、 树立团队意识，注重跨团队与部门的沟通与协作。（四） 工作组及职责1、信息化小组受理数据需求方/使用部门数据需求，并提供数据支撑非固化脚本的数据流转名词解释1、敏感数据敏感数据包括但不限于：客户数据、其它相关数据、自然人数据等。敏感信息敏感信息包括个人、企业、政府、项目等多方信息，指不当使用或未经授权被他人接触或修改会不利于国家、企业、个人的所有信息。其范围描述如下：个人敏感信息包括但不限于：身份证号、银行账号、证券账号、密码、邮箱、手机号等；企业敏感信息包括但不限于：法人信息（如：身份证号、邮箱、手机号）、企业信息（如：银行账号、证券账号、申报密码、社会信用代码）、发票信息（如：发票号码、发票代码、收款人、开票人、复核人）等；政府敏感信息包括但不限于：归属于政府的涉税数据、涉及政府且非公开的统计或汇总信息（如：客户统计报表）、非公开的政府公文（如：红头文件、黑头文件、函件）、非公开的政府网络环境下的软硬件、网络信息（如：内网P、账号）等；二、数据应用要求（一） 数据同步、存储与管理1、 同步的敏感数据，需经副总经理审批。2、 在本地数据库存储的敏感数据，信息化小组负责加密处理。（二） 业务数据管理1、 信息化小组建立数据查询台账，做好数据提供记录。2、 将数据提供给需求方后，信息化小组立即销毁本地数据。3、 部门信息化负责人把数据分发到专属服务经理的，必须建立数据台账，明确使用时间，同时监督员工使用以及销毁情况，在审计部进行风险检查时，若发现员工电脑本地存储明细数据或有数据外传情况，依据《员工奖惩制度》处罚。（三）业务部门及部门数据申请与使用1、内部应用系统前台无法查询的数据，各部门填写《数据处理审批表》，说明数据目的、数据口径等，提交至公司部门信息化负责人，由负责人评估同意后邮件发送信息化小组值班热线，原始数据需求方是客户的不在提供范围。数据处理审批表.docx2、为保障数据提供、应用高效与安全，将常用数据划分为以下级别，不同级别数据申请执行相应审批流程：数据级别数据特征审批人三级本部门职责范围内涉及的各类业务汇总统计数据部门信息化负责人申请，无需审批二级客户、个人明细数据且不含敏感信息产品部部门经理一级客户、个人明细数据中含敏感信息副总经理3、数据提供时间：参考《公司内部信息化运作规范》数据查询流程4、 一、二级数据结果传输必须使用邮件，数据文件必须经过winRAR（v5.31.0.0版本）及以上压缩并设置密码，密码长度至少8个字符，密码必须是任意字符和数字的随机组合，区分大小写；密码通过其他方式单独提供。5、 数据需求方可指定部门内部人员使用数据，但必须保证数据最小集合，即仅提供给对方其岗位工作范围内的相应数据，特殊情况由副总审批。6、 数据使用完毕后，数据需求方、使用人须立即删除数据。管理干部如因工作需要确需在本地存储明细数据的，需存放在硬盘并妥善保管。（三）数据查询权限管理1、 业务支撑部门需要申请数据库查询权限，需部门经理提出申请，报副总审批同意后，信息化小组开通权限，信息化小组做好权限分配记录2、 信息化小组根据其岗位工作范围授权数据库访问权限，被授权人需签订《数据保密协议》。被授权人查询的涉及敏感的明细数据，不允许提供给第三方。3、 在审计部进行风险检查时，若发现被授权人电脑本地存储明细数据或有数据外传情况，依据《员工奖惩制度》处罚。、数据安全红线数据提供及使用部门存在以下行为者，按照公司《员工奖惩制度》“违反数据安全红线”等相关条例处罚；如果出现信息安全事故，追究其相关法律责任。1） 未经许可擅自采集数据的；2） 未经许可擅自超期留存解密之后的数据文件两个及以上的；3） 未经许可擅自将数据传递给数据需求方以外的人员；4） 未经许可擅自将公司明细数据向外业务线提供的；5） 未经许可擅自提取非本工作职能范围之